Enhetsförfrågan
Med enhetsfråga kan du snabbt få information på begäran om enheternas tillstånd. När du anger en fråga på en vald enhet kör enhetsfrågan en fråga i realtid. De data som returneras kan sedan användas för att svara på säkerhetshot, felsöka enheten eller fatta affärsbeslut.
Förhandskrav
Om du vill använda enhetsförfrågan i din klientorganisation måste du ha en licens som innehåller Microsoft Intune Advanced Analytics. Advanced Analytics funktioner är tillgängliga med:
- Tillägget Intune Advanced Analytics
- Microsoft Intune Suite
Om du vill använda Enhetsfråga på en enhet måste enheten registreras i Endpoint Analytics. Lär dig hur du registrerar en enhet i Endpoint Analytics.
Du kan inte avregistrera dig från molnaviseringar (WNS)
För att en användare ska kunna använda enhetsfråga måste dutilldela behörighetenFråga för hanterade enheter - till dem.
Om du vill använda Enhetsfråga måste enheterna vara Intune hanterade och företagsägda.
Plattformar som stöds
Enhetsfråga stöds för närvarande endast på enheter som kör Windows 10 och senare.
Så här använder du enhetsfråga
Om du vill använda Enhetsfråga navigerar du till Enheter och väljer den enhet som du vill använda Enhetsfråga på. Välj Enhetsfråga under avsnittet Övervaka .
De egenskaper som stöds som du kan fråga visas i avsnittet Egenskaper . Om du vill köra en fråga anger du en Kusto-frågespråk fråga (KQL) och väljer Kör. Resultaten visas i området Resultat på fliken .
Mer information om Kusto-frågespråk finns i Läs mer om Kusto-frågespråk.
Tips
Nu kan du använda Copilot i Intune (offentlig förhandsversion) för att generera KQL-frågor för enhetsfrågor med hjälp av begäranden på naturligt språk. Mer information finns i Fråga med Copilot i enhetsfråga.
Operatorer som stöds
Enhetsfrågan stöder endast en delmängd av de operatorer som stöds i Kusto-frågespråk (KQL). Följande operatorer stöds för närvarande:
Tabelloperatorer
Tabelloperatorer kan användas för att filtrera, sammanfatta och transformera dataströmmar. För närvarande stöds följande operatorer:
| Tabelloperatorer | Beskrivning |
|---|---|
| räkna | Returnerar en tabell med en enda post som innehåller antalet poster |
| tydlig | Skapar en tabell med den distinkta kombinationen av de angivna kolumnerna i indatatabellen |
| ansluta | Sammanfoga raderna i två tabeller för att skapa en ny tabell genom att matcha raden för samma enhet |
| order by | Sortera raderna i indatatabellen i ordning efter en eller flera kolumner |
| projekt | Välj de kolumner som ska inkluderas, byt namn på eller släpp och infoga nya beräknade kolumner |
| ta | Återgå till det angivna antalet rader |
| topp | Returnerar de första N posterna sorterade efter de angivna kolumnerna |
| var | Filtrerar en tabell till den delmängd av rader som uppfyller ett predikat |
Skalära operatorer
I följande tabell sammanfattas operatorer:
| Operatörer | Beskrivning | Exempel |
|---|---|---|
| == | Lika | 1 == 1, 'aBc' == 'AbC' |
| != | Inte lika med | 1 != 2, 'abc' != 'abcd' |
| < | Mindre | 1 < 2, 'abc' < 'DEF' |
| > | Större | 2 > 1, 'xyz' > 'XYZ' |
| <= | Mindre eller lika med | 1 <= 2, 'abc' <= 'abc' |
| >= | Större eller lika med | 2 >= 1, 'abc' >= 'ABC' |
| + | Addera | 2 + 1, now() + 1d |
| - | Subtrahera | 2 - 1, now() - 1h |
| * | Multiplicera | 2 * 2 |
| / | Dela | 2 / 1 |
| % | Modulo | 2 % 1 |
| gilla | Vänster sida (LHS) innehåller en matchning för höger sida (RHS) | 'abc' like '%B%' |
| Innehåller | RHS inträffar som en delmängd av LHS | 'abc' contains 'b' |
| !Innehåller | RHS förekommer inte i LHS | 'team' !contains 'i' |
| startswith | RHS är en inledande delmängd av LHS | 'team' startswith 'tea' |
| !startswith | RHS är inte en inledande delmängd av LHS | 'abc' !startswith 'bc' |
| endswith | RHS är en avslutande delmängd av LHS | 'abc' endswith 'bc' |
| !endswith | RHS är inte en avslutande delmängd av LHS | 'abc' !endswith 'a' |
| och | Sant om och endast om RHS och LHS är sanna | (1 == 1) and (2 == 2) |
| eller | Sant om och endast om RHS eller LHS är sant | (1 == 1) or (1 == 2) |
Sammansättningsfunktioner
Sammansättningsfunktioner kan användas med sammanfattningstabelloperatorn för att beräkna sammanfattade värden. För närvarande stöds följande aggregeringsfunktioner:
| Funktion | Beskrivning |
|---|---|
| avg() | Returnerar medelvärdet av värdena i hela gruppen |
| count() | Returnerar antalet poster per sammanfattningsgrupp |
| countif() | Returnerar antalet rader för vilka Predikat utvärderas till sant |
| dcount() | Returnerar antalet distinkta värden i gruppen |
| max() | Returnerar det maximala värdet i gruppen |
| maxif() | Från och med version 2107 kan du använda maxif med tabelloperatorn summarize.
Returnerar det maximala värdet i gruppen som Predicate utvärderar till true. |
| min() | Returnerar minimivärdet i gruppen |
| minif() | Från och med version 2107 kan du använda minif med tabelloperatorn summarize.
Returnerar det minsta värdet i gruppen som Predicate utvärderar till true. |
| percentile() | Returnerar en uppskattning för den angivna percentilen för den närmaste rangordningen av populationen som definieras av Expr |
| sum() | Returnerar summan av värdena i gruppen |
| sumif() | Returnerar en summa av uttr som Predicate utvärderas till sant för |
Skalärfunktioner
Skalärfunktioner kan användas i uttryck. För närvarande stöds följande skalärfunktioner:
| Funktion | Beskrivning |
|---|---|
| ago() | Subtraherar det angivna tidsintervallet från den aktuella UTC-klocktiden |
| bin() | Avrundar ned värdena till många datetime-värden med en viss intervallstorlek |
| case() | Utvärderar en lista över predikat och returnerar det första resultatuttrycket vars predikat är uppfyllt |
| datetime_add() | Beräknar en ny datetime från en angiven datepart multiplicerat med ett angivet belopp som lagts till i en angiven datetime |
| datetime_diff() | Beräknar skillnaden mellan två datumtidsvärden |
| iif() | Utvärderar det första argumentet och returnerar värdet för antingen det andra eller tredje argumentet beroende på om predikatet utvärderas till sant (andra) eller falskt (tredje) |
| indexof() | Funktionen rapporterar det nollbaserade indexet för den första förekomsten av en angiven sträng i indatasträngen |
| isnotnull() | Utvärderar det enda argumentet och returnerar ett booleskt värde som anger om argumentet utvärderas till ett värde som inte är null |
| isnull() | Utvärderar det enda argumentet och returnerar ett booleskt värde som anger om argumentet utvärderas till ett null-värde |
| now() | Returnerar aktuell UTC-klocktid |
| strcat() | Sammanfogar mellan 1 och 64 argument |
| strlen() | Returnerar längden i tecken för indatasträngen |
| substring() | Extraherar en delsträng från en källsträng från ett index till slutet av strängen |
| tostring() | Konverterar indata till en strängrepresentation |
Egenskaper som stöds
Enhetsfrågan stöder följande entiteter. Mer information om vilka egenskaper som stöds för varje entitet finns i Intune Data Platform-schema.
BiosInfo
Certifikat
Processor
DiskDrive
EncryptableVolume
FileInfo
LocalGroup
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
Process
SystemEnclosure
SystemInfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
Kända begränsningar
Resultatsträngen för en fråga är begränsad till 128 kB tecken. Om resultatet av frågan är längre än 128 kB tecken trunkeras resultatet. Ett felmeddelande informerar dig om hur många rader som trunkeras.
Du kan bara skicka 15 frågor per minut. Om du stöter på ett fel med överskriden frågegräns väntar du en minut och försöker igen.
Frågeindata har en längdgräns på 2 048 tecken. Om du stöter på ett för långt fel i frågan förfinar du frågan så att den får färre tecken och försöker igen.
Scalar-funktionen now() stöder inte förskjutningsparametern.
Operatorn !like stöds inte.
Indatafönstret rekommenderar automatiskt dubbla citattecken när endast enkla citattecken stöds på följande operatorer:
- Innehåller
- !Innehåller
- startswith
- !startswith
- endswith
WindowsRegistry-entiteten kan inte returnera RegistryKey för roten.
WindowsRegistry-entiteten kan inte returnera 64-bitars delade registernycklar.
Entiteten WindowsRegistry returnerar inte binärt ValueData.
Om du frågar enheter som körs på Windows 10 måste de ha en lägsta kvalitetsversion.
Om du kör Windows 10 21H2 kontrollerar du att den kör version 10.0.19044.3393.
Om du kör Windows 10 22H2 kontrollerar du att den kör version 10.0.19045.3393.
Om det finns flera nätverkskort tillgängliga på datorn returneras endast den första konfigurerade domänen.
Om TPM 2.0 finns på enheten returneras aktiverad och aktiverad alltid som TRUE.
Om en fil används på datorn returnerar FileInfo-frågor ett fel.
Om slutanvändaren har administratörsåtkomst till enheten kan de kanske ändra klientbaserad information som visas i frågeresultatet. Till exempel operativsystemversion och register.
Nästa steg
Mer information finns i: